Mon ordi est infecter - Page 2

Résolu
Précédent
  • 1
  • 2
  1. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour à tous,

    balltrap, comme tu l'imaginais, la ligne est revenue.

    Je crois que j'ai déjà croisé la bêbête.

    Il faut un script Combofix pour supprimer les fichiers créés en même temps.

    Nicolas, fais ça

    Télécharge combofix (par sUBs) ici :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    et enregistre le sur le bureau.

    Déconnecte toi d'internet et ferme toutes tes applications.

    Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

    Double-clique sur combofix.exe et suis les instructions

    A la fin, il va produire un rapport C:\ComboFix.txt

    Réactive ton parefeu, ton antivirus, la garde de ton antispyware

    copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

    Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

    Tu as un tutoriel complet ici :

    http://www.bleepingcomputer.com/combofix/f...iliser-combofix
    0
  2. nicolasdu13 Messages postés 40 Statut Membre
     
    voici le rapport combofix

    ComboFix 08-05-15.3 - nicolas arredondo 2008-05-19 19:53:53.2 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.170 [GMT 2:00]
    Endroit: C:\Program Files\ComboFix.exe

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    ---- Previous Run -------
    .
    C:\Documents and Settings\nicolas arredondo\Application Data\inst.exe
    C:\smp.bat
    C:\WINDOWS\cookies.ini
    C:\WINDOWS\dat.txt
    C:\WINDOWS\system32\cxhpbhbe.ini
    C:\WINDOWS\system32\ebyhakho.ini
    C:\WINDOWS\system32\mcrh.tmp
    C:\WINDOWS\system32\qqprqtwa.ini
    C:\WINDOWS\system32\qqprqtwa.ini2

    .
    ((((((((((((((((((((((((((((( Fichiers créés 2008-04-19 to 2008-05-19 ))))))))))))))))))))))))))))))))))))
    .

    2008-05-19 18:42 . 2008-05-19 18:42 14,336 --a------ C:\WINDOWS\system32\WinCtrl32.dl_
    2008-05-19 18:25 . 2008-05-19 18:25 1,916,951 --a------ C:\Program Files\ComboFix.exe
    2008-05-19 17:14 . 2008-05-19 17:14 <REP> d-------- C:\Program Files\backups
    2008-05-19 17:08 . 2008-05-19 17:08 401,720 --a------ C:\Program Files\HiJackThis.exe
    2008-05-18 20:14 . 2008-05-18 20:14 <REP> d-------- C:\Documents and Settings\nicolas arredondo\Application Data\Malwarebytes
    2008-05-18 18:55 . 2008-05-18 18:55 <REP> d-------- C:\Documents and Settings\nicolas arredondo\Application Data\Bitdefender
    2008-05-18 18:38 . 2008-05-18 18:38 <REP> d-------- C:\Documents and Settings\ange arredondo\Application Data\Bitdefender
    2008-05-18 17:42 . 2008-05-18 17:42 1,850 --a------ C:\WINDOWS\system32\tmp.reg
    2008-05-18 17:41 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
    2008-05-18 17:41 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
    2008-05-18 17:41 . 2008-05-15 23:22 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
    2008-05-18 17:41 . 2008-04-28 08:03 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
    2008-05-18 17:41 . 2008-04-28 08:03 82,944 --a------ C:\WINDOWS\system32\404Fix.exe
    2008-05-18 17:41 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
    2008-05-18 17:41 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
    2008-05-18 17:41 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
    2008-05-18 17:40 . 2008-05-18 17:43 <REP> d-------- C:\Documents and Settings\ange arredondo\SmitfraudFix
    2008-05-18 17:39 . 2008-05-18 17:39 <REP> d-------- C:\VundoFix Backups
    2008-05-18 17:32 . 2008-05-19 19:53 81,984 --a------ C:\WINDOWS\system32\bdod.bin
    2008-05-18 17:27 . 2008-05-18 17:27 <REP> d-------- C:\Program Files\Softwin
    2008-05-18 17:27 . 2008-05-18 17:28 <REP> d-------- C:\Documents and Settings\All Users\Application Data\BitDefender
    2008-05-18 17:26 . 2008-05-18 17:27 <REP> d-------- C:\Program Files\Fichiers communs\Softwin
    2008-05-18 14:16 . 2008-05-18 14:16 <REP> d-------- C:\Documents and Settings\ange arredondo\Application Data\Malwarebytes
    2008-05-18 14:16 . 2008-05-18 14:16 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
    2008-05-18 13:24 . 2008-05-18 13:24 <REP> d-------- C:\c3bd159387618cb7f3ab0ebd
    2008-05-18 04:12 . 2008-05-18 04:12 60 --a------ C:\WINDOWS\system32\SYSDRV.DAT
    2008-05-18 04:11 . 2008-05-19 18:42 <REP> d-------- C:\WINDOWS\system32\Catroot2
    2008-05-18 04:09 . 2008-05-18 04:09 <REP> dr------- C:\Documents and Settings\Propriétaire\Mes documents
    2008-05-18 04:09 . 2008-05-18 04:09 <REP> dr------- C:\Documents and Settings\Propriétaire\Menu Démarrer
    2008-05-18 04:09 . 2008-05-18 04:09 <REP> dr------- C:\Documents and Settings\Propriétaire\Favoris
    2008-05-17 18:42 . 2008-05-17 18:42 118 --a------ C:\WINDOWS\system32\MRT.INI
    2008-05-17 18:20 . 2008-05-18 20:14 <REP> d-------- C:\Program Files\Navilog1
    2008-05-17 18:07 . 2008-05-17 20:05 <REP> d-------- C:\WINDOWS\system32\CatRoot_bak
    2008-05-17 16:51 . 2008-05-17 16:51 <REP> d-------- C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com
    2008-05-17 16:50 . 2008-05-17 16:50 <REP> d-------- C:\Program Files\SUPERAntiSpyware
    2008-05-17 16:50 . 2008-05-17 16:50 <REP> d-------- C:\Documents and Settings\ange arredondo\Application Data\SUPERAntiSpyware.com
    2008-05-17 16:48 . 2008-05-17 16:48 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
    2008-05-17 15:27 . 2008-05-17 15:27 <REP> d-------- C:\Program Files\Avira
    2008-05-17 15:27 . 2008-05-17 15:27 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
    2008-05-17 15:25 . 2008-05-17 15:26 22,311,160 --a------ C:\Program Files\antivir_workstation_winu_en_h.exe
    2008-05-16 19:01 . 2008-05-16 02:03 172,032 --a------ C:\WINDOWS\exnk.exe
    2008-05-16 19:01 . 2008-05-19 16:59 14,336 --a------ C:\WINDOWS\system32\WinCtrl32.dll
    2008-05-03 16:14 . 2008-05-03 16:14 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Azureus
    2008-05-03 16:13 . 2008-05-16 00:47 <REP> d-------- C:\Documents and Settings\nicolas arredondo\Application Data\Azureus
    2008-05-03 16:12 . 2008-05-04 19:22 <REP> d-------- C:\Program Files\Azureus
    2008-05-03 14:54 . 2008-05-03 14:54 <REP> d-------- C:\Program Files\Alwil Software
    2008-04-25 11:24 . 2008-05-06 14:17 227 --a------ C:\WINDOWS\RtlRack.ini
    2008-04-22 19:08 . 2008-04-22 19:08 <REP> d-------- C:\Documents and Settings\ange arredondo\Application Data\ArcSoft

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-05-19 16:45 --------- d-----w C:\Program Files\Steam
    2008-05-19 15:09 7,906 ----a-w C:\Program Files\hijackthis.log
    2008-05-12 17:35 --------- d-----w C:\Documents and Settings\ange arredondo\Application Data\temp
    2008-05-06 12:41 --------- d-----w C:\Program Files\Windows Media Connect 2
    2008-05-06 12:34 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-05-05 13:16 --------- d-----w C:\Documents and Settings\nicolas arredondo\Application Data\temp
    2008-05-05 12:50 --------- d-----w C:\Program Files\eChanblard
    2008-04-25 13:17 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
    2008-04-19 15:07 --------- d-----w C:\Program Files\TVAnts
    2008-04-14 18:51 --------- d-----w C:\Program Files\SopCast
    2008-04-13 09:12 --------- d-----w C:\Documents and Settings\All Users\Application Data\Downloaded Installations
    2008-04-04 09:59 --------- d--h--r C:\Documents and Settings\ange arredondo\Application Data\SecuROM
    2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
    2008-03-25 04:51 194,144 ----a-w C:\WINDOWS\system32\msjint40.dll
    2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
    2008-03-01 12:58 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
    2008-02-27 15:50 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
    2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
    2008-02-20 05:35 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
    2008-02-06 18:09 47,360 ----a-w C:\Documents and Settings\nicolas arredondo\Application Data\pcouffin.sys
    2007-09-19 10:49 245,760 ----a-w C:\Program Files\Uninstall Ask Toolbar.dll
    2007-07-14 20:58 21 ----a-w C:\Program Files\Fichiers communs\appop.log
    2007-12-02 14:28 56 --sh--r C:\WINDOWS\system32\[u]0[/u]E3FCDB958.sys
    2008-01-03 12:21 88 --sh--r C:\WINDOWS\system32\58B9CD3F0E.sys
    2008-01-03 12:55 6,580 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2008-02-12 01:08 5674352]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 21:00 15360]
    "Steam"="c:\progra~1\steam\steam.exe" [2008-04-07 19:18 1271032]
    "WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:59 204288]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "VTTimer"="VTTimer.exe" [2005-03-08 04:33 53248 C:\WINDOWS\system32\VTTimer.exe]
    "VTTrayp"="VTtrayp.exe" [2005-03-11 18:33 147456 C:\WINDOWS\system32\VTTrayp.exe]
    "Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2005-07-19 14:35 999424]
    "schedule"="C:\Program Files\InterVideo\Backup\Schedule.exe" [ ]
    "EoEngine"="" []
    "EoWeather"="" []
    "REV"="C:\Program Files\counter-strike\Revolution_Script" [ ]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]
    "CTRegRun"="C:\WINDOWS\CTRegRun.EXE" [1999-10-10 19:00 41984]
    "phc710"="C:\WINDOWS\vphc700.exe" [2005-07-20 20:56 339968]
    "SoundMan"="SOUNDMAN.EXE" [2005-12-14 19:06 577536 C:\WINDOWS\SOUNDMAN.EXE]
    "ctfmona"="C:\WINDOWS\system32\ctfmona.exe" [ ]
    "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
    "BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-05 21:00 110592 C:\WINDOWS\system32\bthprops.cpl]
    "BDMCon"="C:\Program Files\Softwin\BitDefender10\bdmcon.exe" [2007-04-02 16:48 290816]
    "BDAgent"="C:\Program Files\Softwin\BitDefender10\bdagent.exe" [2007-03-26 15:49 69632]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 21:00 15360]

    C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    TrayMin710.exe.lnk - C:\Program Files\Philips\Philips SPC710NC Webcam\TrayMin710.exe [2008-02-08 14:14:31 278528]

    [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
    "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 10:13 77824]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
    C:\Program Files\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WinCtrl32]
    WinCtrl32.dll 2008-05-19 16:59 14336 C:\WINDOWS\system32\WinCtrl32.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=sockspy.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "msacm.l3acm"= l3codecp.acm
    "vidc.mpng"= C:\Program Files\t@b\[u]0[/u].957\686\tabdec.dll
    "vidc.mvjp"= C:\Program Files\t@b\[u]0[/u].957\686\tabdec.dll
    "vidc.444p"= C:\Program Files\t@b\[u]0[/u].957\686\tabdec.dll

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\bgL62.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\flP40.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ggC48.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\glQ73.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\gmR38.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ioS62.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\kcP26.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\kgD66.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\lqV73.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mrW16.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\rwC51.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\rwD40.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\rxD16.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\yeK63.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\yfK16.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ytR83.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "C:\\Program Files\\Messenger\\msmsgs.exe"=
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\MSN Messenger\\livecall.exe"=
    "C:\\Program Files\\SopCast\\adv\\SopAdver.exe"=
    "C:\\Program Files\\SopCast\\SopCast.exe"=
    "C:\\Program Files\\SopCast\\sopvod.exe"=
    "C:\\Program Files\\TVAnts\\Tvants.exe"=
    "C:\\Program Files\\Steam\\steamapps\\nicolas13003\\counter-strike\\hl.exe"=
    "C:\\Program Files\\Azureus\\Azureus.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "1700:TCP"= 1700:TCP:MioNet Remote Drive Access
    "1641:TCP"= 1641:TCP:MioNet Remote Drive Verification

    R2 SBFSHOOK;SBFSHOOK;C:\WINDOWS\system32\drivers\sbfshook.sys [2004-10-18 21:06]
    R3 phc700;USB PC Camera (phc710);C:\WINDOWS\system32\DRIVERS\phc700.sys [2005-06-07 15:21]
    S0 flP40;flP40;C:\WINDOWS\system32\Drivers\flP40.sys []
    S0 ggC48;ggC48;C:\WINDOWS\system32\Drivers\ggC48.sys []
    S0 glQ73;glQ73;C:\WINDOWS\system32\Drivers\glQ73.sys []
    S0 gmR38;gmR38;C:\WINDOWS\system32\Drivers\gmR38.sys []
    S0 ioS62;ioS62;C:\WINDOWS\system32\Drivers\ioS62.sys []
    S0 kcP26;kcP26;C:\WINDOWS\system32\Drivers\kcP26.sys []
    S0 kgD66;kgD66;C:\WINDOWS\system32\Drivers\kgD66.sys []
    S0 rwC51;rwC51;C:\WINDOWS\system32\Drivers\rwC51.sys []
    S0 rwD40;rwD40;C:\WINDOWS\system32\Drivers\rwD40.sys []
    S0 rxD16;rxD16;C:\WINDOWS\system32\Drivers\rxD16.sys []
    S0 yfK16;yfK16;C:\WINDOWS\system32\Drivers\yfK16.sys []
    S0 ytR83;ytR83;C:\WINDOWS\system32\Drivers\ytR83.sys []
    S3 lqV73;lqV73;C:\WINDOWS\System32\drivers\lqV73.sys []
    S3 MBAMCatchMe;MBAMCatchMe;C:\WINDOWS\system32\drivers\mbamcatchme.sys []
    S4 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" []

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9e834254-75c1-11dc-aa4a-0016ecbd5c9b}]
    \Shell\AutoRun\command - E:\GETMYPIX.EXE

    .
    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-05-19 19:56:50
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\fr_live_10versions.dat

    Scan terminé avec succès
    Les fichiers cachés: 1

    **************************************************************************
    .
    --------------------- DLLs a chargé sous des processus courants ---------------------

    PROCESS: C:\WINDOWS\system32\winlogon.exe
    -> C:\WINDOWS\system32\WinCtrl32.dll
    .
    Temps d'accomplissement: 2008-05-19 20:00:28
    ComboFix-quarantined-files.txt 2008-05-19 17:59:57

    Pre-Run: 123,743,019,008 octets libres
    Post-Run: 123,766,722,560 octets libres

    236 --- E O F --- 2008-05-18 17:52:25

    ps: quelqu un peut me dire ce qu est window/systeme32/winctrl32 mon antivirus me signal toujour un probleme a cause de ce truk et impossible de l éffacé
    0
  3. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    c'est un trojan protégé par d'autres fichiers.

    Copie ou imprime les instructions avant

    Déconnecte toi d'internet et ferme toutes tes applications.

    Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

    Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

    Driver::
    flP40
    ggC48
    glQ73;
    gmR38
    ioS62
    kcP26
    kgD66
    rwC51
    rwD40
    rxD16
    yfK16
    ytR83
    lqV73

    file::
    C:\WINDOWS\exnk.exe
    C:\WINDOWS\system32\WinCtrl32.dll
    C:\WINDOWS\system32\Drivers\flP40.sys
    C:\WINDOWS\system32\Drivers\ggC48.sys
    C:\WINDOWS\system32\Drivers\glQ73.sys
    C:\WINDOWS\system32\Drivers\gmR38.sys
    C:\WINDOWS\system32\Drivers\ioS62.sys
    C:\WINDOWS\system32\Drivers\kcP26.sys
    C:\WINDOWS\system32\Drivers\kgD66.sys
    C:\WINDOWS\system32\Drivers\rwC51.sys
    C:\WINDOWS\system32\Drivers\rwD40.sys
    C:\WINDOWS\system32\Drivers\rxD16.sys
    C:\WINDOWS\system32\Drivers\yfK16.sys
    C:\WINDOWS\system32\Drivers\ytR83.sys
    C:\WINDOWS\System32\drivers\lqV73.sys

    Registry::
    [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WinCtrl32]

    Enregistre ce fichier sous le nom CFscript

    Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

    Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Réactive ton parefeu, ton antivirus, la garde de ton antispyware

    Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

    Remets aussi un rapport Hijackthis

    Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.

    Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Clique sur parcourir et cherche ce fichier : C:\WINDOWS\system32\drivers\sbfshook.sys

    Clique sur Send File.

    Un rapport va s'élaborer ligne à ligne.

    Attends la fin. Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copie le dans ta réponse.

    Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant
    0
  4. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    merci lyonnais d avoir pris la suite j etais tres occuper aujourd'hui
    ces drivers revienne tres souvent en se moment sur pas mal de pc clients
    par contre plus rare d en retrouver autant

    j edite
    il me semble que ceux ci pouvait etre intergrer au script non?
    yek63
    mrW16
    bgL62

    pour sbfshook.sys au vu de la date je pense pas qu il soit nefaste mais avec ces drivers tres difficile a cerner vaut mieux verifier bien que je sois pas sur que les av les detectes bien

    a++
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. nicolasdu13 Messages postés 40 Statut Membre
     
    ComboFix 08-05-15.3 - nicolas arredondo 2008-05-20 14:00:41.3 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.113 [GMT 2:00]
    Endroit: C:\Program Files\ComboFix.exe
    Command switches used :: C:\Documents and Settings\nicolas arredondo\Bureau\CFscript.txt
    * Création d'un nouveau point de restauration

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

    FILE ::
    C:\WINDOWS\exnk.exe
    C:\WINDOWS\system32\Drivers\flP40.sys
    C:\WINDOWS\system32\Drivers\ggC48.sys
    C:\WINDOWS\system32\Drivers\glQ73.sys
    C:\WINDOWS\system32\Drivers\gmR38.sys
    C:\WINDOWS\system32\Drivers\ioS62.sys
    C:\WINDOWS\system32\Drivers\kcP26.sys
    C:\WINDOWS\system32\Drivers\kgD66.sys
    C:\WINDOWS\System32\drivers\lqV73.sys
    C:\WINDOWS\system32\Drivers\rwC51.sys
    C:\WINDOWS\system32\Drivers\rwD40.sys
    C:\WINDOWS\system32\Drivers\rxD16.sys
    C:\WINDOWS\system32\Drivers\yfK16.sys
    C:\WINDOWS\system32\Drivers\ytR83.sys
    C:\WINDOWS\system32\WinCtrl32.dll
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\exnk.exe
    C:\WINDOWS\system32\WinCtrl32.dll

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_IOS62
    -------\Legacy_KGD66
    -------\Legacy_LQV73
    -------\Legacy_YTR83
    -------\Service_flP40
    -------\Service_ggC48
    -------\Service_gmR38
    -------\Service_ioS62
    -------\Service_kcP26
    -------\Service_kgD66
    -------\Service_lqV73
    -------\Service_rwC51
    -------\Service_rwD40
    -------\Service_rxD16
    -------\Service_yfK16
    -------\Service_ytR83

    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-20 to 2008-05-20 ))))))))))))))))))))))))))))))))))))
    .

    2008-05-19 18:25 . 2008-05-19 18:25 1,916,951 --a------ C:\Program Files\ComboFix.exe
    2008-05-19 17:14 . 2008-05-19 17:14 <REP> d-------- C:\Program Files\backups
    2008-05-19 17:08 . 2008-05-19 17:08 401,720 --a------ C:\Program Files\HiJackThis.exe
    2008-05-18 20:14 . 2008-05-18 20:14 <REP> d-------- C:\Documents and Settings\nicolas arredondo\Application Data\Malwarebytes
    2008-05-18 18:55 . 2008-05-18 18:55 <REP> d-------- C:\Documents and Settings\nicolas arredondo\Application Data\Bitdefender
    2008-05-18 18:38 . 2008-05-18 18:38 <REP> d-------- C:\Documents and Settings\ange arredondo\Application Data\Bitdefender
    2008-05-18 17:42 . 2008-05-18 17:42 1,850 --a------ C:\WINDOWS\system32\tmp.reg
    2008-05-18 17:41 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
    2008-05-18 17:41 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
    2008-05-18 17:41 . 2008-05-15 23:22 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
    2008-05-18 17:41 . 2008-04-28 08:03 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
    2008-05-18 17:41 . 2008-04-28 08:03 82,944 --a------ C:\WINDOWS\system32\404Fix.exe
    2008-05-18 17:41 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
    2008-05-18 17:41 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
    2008-05-18 17:41 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
    2008-05-18 17:40 . 2008-05-18 17:43 <REP> d-------- C:\Documents and Settings\ange arredondo\SmitfraudFix
    2008-05-18 17:39 . 2008-05-18 17:39 <REP> d-------- C:\VundoFix Backups
    2008-05-18 17:32 . 2008-05-20 14:04 81,984 --a------ C:\WINDOWS\system32\bdod.bin
    2008-05-18 17:27 . 2008-05-18 17:27 <REP> d-------- C:\Program Files\Softwin
    2008-05-18 17:27 . 2008-05-18 17:28 <REP> d-------- C:\Documents and Settings\All Users\Application Data\BitDefender
    2008-05-18 17:26 . 2008-05-18 17:27 <REP> d-------- C:\Program Files\Fichiers communs\Softwin
    2008-05-18 14:16 . 2008-05-18 14:16 <REP> d-------- C:\Documents and Settings\ange arredondo\Application Data\Malwarebytes
    2008-05-18 14:16 . 2008-05-18 14:16 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
    2008-05-18 13:24 . 2008-05-18 13:24 <REP> d-------- C:\c3bd159387618cb7f3ab0ebd
    2008-05-18 04:12 . 2008-05-18 04:12 60 --a------ C:\WINDOWS\system32\SYSDRV.DAT
    2008-05-18 04:11 . 2008-05-19 18:42 <REP> d-------- C:\WINDOWS\system32\Catroot2
    2008-05-17 18:42 . 2008-05-17 18:42 118 --a------ C:\WINDOWS\system32\MRT.INI
    2008-05-17 18:20 . 2008-05-18 20:14 <REP> d-------- C:\Program Files\Navilog1
    2008-05-17 18:07 . 2008-05-17 20:05 <REP> d-------- C:\WINDOWS\system32\CatRoot_bak
    2008-05-17 16:51 . 2008-05-17 16:51 <REP> d-------- C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com
    2008-05-17 16:50 . 2008-05-17 16:50 <REP> d-------- C:\Program Files\SUPERAntiSpyware
    2008-05-17 16:50 . 2008-05-17 16:50 <REP> d-------- C:\Documents and Settings\ange arredondo\Application Data\SUPERAntiSpyware.com
    2008-05-17 16:48 . 2008-05-17 16:48 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
    2008-05-17 15:27 . 2008-05-17 15:27 <REP> d-------- C:\Program Files\Avira
    2008-05-17 15:27 . 2008-05-17 15:27 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
    2008-05-17 15:25 . 2008-05-17 15:26 22,311,160 --a------ C:\Program Files\antivir_workstation_winu_en_h.exe
    2008-05-03 16:14 . 2008-05-03 16:14 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Azureus
    2008-05-03 16:13 . 2008-05-16 00:47 <REP> d-------- C:\Documents and Settings\nicolas arredondo\Application Data\Azureus
    2008-05-03 16:12 . 2008-05-04 19:22 <REP> d-------- C:\Program Files\Azureus
    2008-05-03 14:54 . 2008-05-03 14:54 <REP> d-------- C:\Program Files\Alwil Software
    2008-04-25 11:24 . 2008-05-06 14:17 227 --a------ C:\WINDOWS\RtlRack.ini
    2008-04-22 19:08 . 2008-04-22 19:08 <REP> d-------- C:\Documents and Settings\ange arredondo\Application Data\ArcSoft

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-05-19 18:13 --------- d-----w C:\Program Files\Steam
    2008-05-19 15:09 7,906 ----a-w C:\Program Files\hijackthis.log
    2008-05-12 17:35 --------- d-----w C:\Documents and Settings\ange arredondo\Application Data\temp
    2008-05-06 12:41 --------- d-----w C:\Program Files\Windows Media Connect 2
    2008-05-06 12:34 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-05-05 13:16 --------- d-----w C:\Documents and Settings\nicolas arredondo\Application Data\temp
    2008-05-05 12:50 --------- d-----w C:\Program Files\eChanblard
    2008-04-25 13:17 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
    2008-04-19 15:07 --------- d-----w C:\Program Files\TVAnts
    2008-04-14 18:51 --------- d-----w C:\Program Files\SopCast
    2008-04-13 09:12 --------- d-----w C:\Documents and Settings\All Users\Application Data\Downloaded Installations
    2008-04-04 09:59 --------- d--h--r C:\Documents and Settings\ange arredondo\Application Data\SecuROM
    2008-02-06 18:09 47,360 ----a-w C:\Documents and Settings\nicolas arredondo\Application Data\pcouffin.sys
    2007-09-19 10:49 245,760 ----a-w C:\Program Files\Uninstall Ask Toolbar.dll
    2007-07-14 20:58 21 ----a-w C:\Program Files\Fichiers communs\appop.log
    2007-12-02 14:28 56 --sh--r C:\WINDOWS\system32\[u]0[/u]E3FCDB958.sys
    2008-01-03 12:21 88 --sh--r C:\WINDOWS\system32\58B9CD3F0E.sys
    2008-01-03 12:55 6,580 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
    .

    ((((((((((((((((((((((((((((( snapshot@2008-05-19_19.59.41.04 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2008-05-19 16:41:57 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    + 2008-05-20 12:05:51 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2008-02-12 01:08 5674352]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 21:00 15360]
    "Steam"="c:\progra~1\steam\steam.exe" [2008-04-07 19:18 1271032]
    "WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:59 204288]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "VTTimer"="VTTimer.exe" [2005-03-08 04:33 53248 C:\WINDOWS\system32\VTTimer.exe]
    "VTTrayp"="VTtrayp.exe" [2005-03-11 18:33 147456 C:\WINDOWS\system32\VTTrayp.exe]
    "Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2005-07-19 14:35 999424]
    "schedule"="C:\Program Files\InterVideo\Backup\Schedule.exe" [ ]
    "EoEngine"="" []
    "EoWeather"="" []
    "REV"="C:\Program Files\counter-strike\Revolution_Script" [ ]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]
    "CTRegRun"="C:\WINDOWS\CTRegRun.EXE" [1999-10-10 19:00 41984]
    "phc710"="C:\WINDOWS\vphc700.exe" [2005-07-20 20:56 339968]
    "SoundMan"="SOUNDMAN.EXE" [2005-12-14 19:06 577536 C:\WINDOWS\SOUNDMAN.EXE]
    "ctfmona"="C:\WINDOWS\system32\ctfmona.exe" [ ]
    "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
    "BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-05 21:00 110592 C:\WINDOWS\system32\bthprops.cpl]
    "BDMCon"="C:\Program Files\Softwin\BitDefender10\bdmcon.exe" [2007-04-02 16:48 290816]
    "BDAgent"="C:\Program Files\Softwin\BitDefender10\bdagent.exe" [2007-03-26 15:49 69632]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 21:00 15360]

    [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
    "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 10:13 77824]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
    C:\Program Files\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=sockspy.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "msacm.l3acm"= l3codecp.acm
    "vidc.mpng"= C:\Program Files\t@b\[u]0[/u].957\686\tabdec.dll
    "vidc.mvjp"= C:\Program Files\t@b\[u]0[/u].957\686\tabdec.dll
    "vidc.444p"= C:\Program Files\t@b\[u]0[/u].957\686\tabdec.dll

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\bgL62.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\flP40.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ggC48.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\glQ73.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\gmR38.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ioS62.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\kcP26.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\kgD66.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\lqV73.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mrW16.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\rwC51.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\rwD40.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\rxD16.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\yeK63.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\yfK16.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ytR83.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "C:\\Program Files\\Messenger\\msmsgs.exe"=
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\MSN Messenger\\livecall.exe"=
    "C:\\Program Files\\SopCast\\adv\\SopAdver.exe"=
    "C:\\Program Files\\SopCast\\SopCast.exe"=
    "C:\\Program Files\\SopCast\\sopvod.exe"=
    "C:\\Program Files\\TVAnts\\Tvants.exe"=
    "C:\\Program Files\\Steam\\steamapps\\nicolas13003\\counter-strike\\hl.exe"=
    "C:\\Program Files\\Azureus\\Azureus.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "1700:TCP"= 1700:TCP:MioNet Remote Drive Access
    "1641:TCP"= 1641:TCP:MioNet Remote Drive Verification

    R2 SBFSHOOK;SBFSHOOK;C:\WINDOWS\system32\drivers\sbfshook.sys [2004-10-18 21:06]
    R3 phc700;USB PC Camera (phc710);C:\WINDOWS\system32\DRIVERS\phc700.sys [2005-06-07 15:21]
    S0 glQ73;glQ73;C:\WINDOWS\system32\Drivers\glQ73.sys []
    S3 MBAMCatchMe;MBAMCatchMe;C:\WINDOWS\system32\drivers\mbamcatchme.sys []
    S4 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" []

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\Z]
    \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe folder.htt 480 480

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9e834254-75c1-11dc-aa4a-0016ecbd5c9b}]
    \Shell\AutoRun\command - E:\GETMYPIX.EXE

    .
    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-05-20 14:07:08
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cach‚s ...

    Balayage cach‚ autostart entries ...

    Balayage des fichiers cach‚s ...

    Scan termin‚ avec succŠs
    Les fichiers cach‚s: 0

    **************************************************************************
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\system32\PSIService.exe
    C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
    C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
    C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
    C:\Program Files\Softwin\BitDefender10\vsserv.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\Philips\Philips SPC710NC Webcam\TrayMin710.exe
    .
    **************************************************************************
    .
    Temps d'accomplissement: 2008-05-20 14:15:33 - machine was rebooted [nicolas arredondo]
    ComboFix-quarantined-files.txt 2008-05-20 12:15:10
    ComboFix2.txt 2008-05-19 18:00:29

    Pre-Run: 123,724,701,696 octets libres
    Post-Run: 123,756,064,768 octets libres

    250 --- E O F --- 2008-05-18 17:52:25

    log hijackthis

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 14:27:41, on 20/05/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16640)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\PSIService.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
    C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
    C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
    C:\Program Files\Softwin\BitDefender10\vsserv.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\VTTimer.exe
    C:\WINDOWS\system32\VTtrayp.exe
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\WINDOWS\vphc700.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\Softwin\BitDefender10\bdmcon.exe
    C:\Program Files\Softwin\BitDefender10\bdagent.exe
    C:\progra~1\steam\steam.exe
    C:\Program Files\Windows Media Player\WMPNSCFG.exe
    C:\Program Files\Philips\Philips SPC710NC Webcam\TrayMin710.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\system32\notepad.exe
    C:\Program Files\internet explorer\iexplore.exe
    C:\Program Files\WinRAR\WinRAR.exe
    C:\DOCUME~1\NICOLA~1\LOCALS~1\Temp\Rar$EX00.344\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
    O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
    O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
    O4 - HKLM\..\Run: [schedule] C:\Program Files\InterVideo\Backup\Schedule.exe
    O4 - HKLM\..\Run: [REV] C:\Program Files\counter-strike\Revolution_Script
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE
    O4 - HKLM\..\Run: [phc710] C:\WINDOWS\vphc700.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [ctfmona] C:\WINDOWS\system32\ctfmona.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
    O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Steam] "c:\progra~1\steam\steam.exe" -silent
    O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: TrayMin710.exe.lnk = ?
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {2019DC25-D1C0-11D6-97B3-0008A124F542} (StreamPlug Class) - http://www.streamplug.com/StreamPlug/SP.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com/index.php?v_page=29
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su2/CTL_V02002/ocx/15033/CTPID.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{AB89D377-8DBE-4322-B474-C54D5BA5A314}: NameServer = 192.168.1.1
    O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
    O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
    O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)
    O23 - Service: FLEXnet Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (file missing)
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
    O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Program Files\Norman\Nvc\BIN\nipsvc.exe (file missing)
    O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe (file missing)
    O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
    O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe
    O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
    0
  7. nicolasdu13 Messages postés 40 Statut Membre
     
    et voici le rapport virus total :

    Fichier sbfshook.sys reçu le 2008.05.20 14:32:21 (CET)
    Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE

    Résultat: 0/32 (0%)
    en train de charger les informations du serveur...
    Votre fichier est dans la file d'attente, en position: ___.
    L'heure estimée de démarrage est entre ___ et ___ .
    Ne fermez pas la fenêtre avant la fin de l'analyse.
    L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
    Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
    Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
    les résultats seront affichés au fur et à mesure de leur génération.
    Formaté Impression des résultats
    Votre fichier a expiré ou n'existe pas.
    Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

    Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
    Email:

    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.5.20.0 2008.05.20 -
    AntiVir 7.8.0.19 2008.05.20 -
    Authentium 5.1.0.4 2008.05.19 -
    Avast 4.8.1195.0 2008.05.20 -
    AVG 7.5.0.516 2008.05.20 -
    BitDefender 7.2 2008.05.20 -
    CAT-QuickHeal 9.50 2008.05.19 -
    ClamAV 0.92.1 2008.05.20 -
    DrWeb 4.44.0.09170 2008.05.20 -
    eSafe 7.0.15.0 2008.05.19 -
    eTrust-Vet 31.4.5806 2008.05.20 -
    Ewido 4.0 2008.05.19 -
    F-Prot 4.4.2.54 2008.05.16 -
    F-Secure 6.70.13260.0 2008.05.20 -
    Fortinet 3.14.0.0 2008.05.20 -
    GData 2.0.7306.1023 2008.05.20 -
    Ikarus T3.1.1.26.0 2008.05.20 -
    Kaspersky 7.0.0.125 2008.05.20 -
    McAfee 5298 2008.05.19 -
    Microsoft 1.3520 2008.05.20 -
    NOD32v2 3113 2008.05.20 -
    Norman 5.80.02 2008.05.19 -
    Panda 9.0.0.4 2008.05.20 -
    Prevx1 V2 2008.05.20 -
    Rising 20.45.12.00 2008.05.20 -
    Sophos 4.29.0 2008.05.20 -
    Sunbelt 3.0.1123.1 2008.05.17 -
    Symantec 10 2008.05.20 -
    TheHacker 6.2.92.314 2008.05.20 -
    VBA32 3.12.6.6 2008.05.19 -
    VirusBuster 4.3.26:9 2008.05.19 -
    Webwasher-Gateway 6.6.2 2008.05.20 -
    Information additionnelle
    File size: 8320 bytes
    MD5...: c7887cf1e400a420c4d336764a3f56af
    SHA1..: b557d04e04746bf5d8dad5751157713dbf13323b
    SHA256: 773d0bae677023337bfbc25174c4f7acbf83e61964597aade2614c6407a07f81
    SHA512: cc8107e0599e00aeebbce23ddcdd03ea51ca547eec104b0144d3237b4ef374ee
    746d4a95d755c01f19349aea90ec496df74595f0a131259e945dd0a5a0c83a2f
    PEiD..: -
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x1174a
    timedatestamp.....: 0x4174bd06 (Tue Oct 19 07:06:46 2004)
    machinetype.......: 0x14c (I386)

    ( 5 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x280 0x15c1 0x1600 6.16 f9e118d350d61b5e109be08bd19b0862
    .rdata 0x1880 0xf1 0x100 4.01 bb43ea919f34a04332de4618cd410628
    .data 0x1980 0x110 0x180 1.66 fdea287b0ed5ab2bc4f7e65e210e4be5
    INIT 0x1b00 0x340 0x380 4.96 6c3395eb22de90796010d07c8325b9b0
    .reloc 0x1e80 0x1b6 0x200 4.98 27ae7e6f1b6795ef6b6686706d54573f

    ( 2 imports )
    > ntoskrnl.exe: RtlUnicodeStringToAnsiString, RtlFreeUnicodeString, ZwQueryValueKey, ExAllocatePoolWithTag, RtlInitUnicodeString, ZwOpenKey, RtlAnsiStringToUnicodeString, RtlInitString, _stricmp, _strnicmp, RtlFreeAnsiString, strncpy, sprintf, IoGetCurrentProcess, ZwClose, ObfDereferenceObject, IoAttachDeviceToDeviceStack, IoCreateDevice, IoGetRelatedDeviceObject, ObReferenceObjectByHandle, ZwCreateFile, IoDeleteDevice, IoDetachDevice, KeQuerySystemTime, IofCallDriver, IofCompleteRequest, MmMapLockedPages, IoCreateSymbolicLink, strncmp, ExFreePoolWithTag
    > HAL.dll: KeQueryPerformanceCounter

    ( 0 exports )

    ATTENTION: VirusTotal est un service gratuit offert par Hispasec Sistemas. Il n'y a aucune garantie quant à la disponibilité et la continuité de ce service. Bien que le taux de détection permis par l'utilisation de multiples moteurs antivirus soit bien supérieur à celui offert par seulement un produit, ces résultats NE garantissent PAS qu'un fichier est sans danger. Il n'y a actuellement aucune solution qui offre un taux d'efficacité de 100% pour la détection des virus et malwares.
    0
  8. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    C:\WINDOWS\system32\Drivers\flP40.sys
    C:\WINDOWS\system32\Drivers\ggC48.sys
    C:\WINDOWS\system32\Drivers\gmR38.sys
    C:\WINDOWS\system32\Drivers\ioS62.sys
    C:\WINDOWS\system32\Drivers\kcP26.sys
    C:\WINDOWS\system32\Drivers\kgD66.sys
    C:\WINDOWS\system32\Drivers\lqV73.sys
    C:\WINDOWS\system32\Drivers\rwC51.sys
    C:\WINDOWS\system32\Drivers\rwD40.sys
    C:\WINDOWS\system32\Drivers\rxD16.sys
    C:\WINDOWS\system32\Drivers\yfK16.sys
    C:\WINDOWS\system32\Drivers\ytR83.sys
    C:\WINDOWS\system32\Drivers\bgL62.sys
    C:\WINDOWS\system32\Drivers\glQ73.sys
    C:\WINDOWS\system32\Drivers\mrW16.sys
    C:\WINDOWS\system32\Drivers\yeK63.sys
    C:\WINDOWS\system32\Drivers\kgD66.sys

    Enregistre ce fichier sous le nom CFscript

    Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

    Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Réactive ton parefeu, ton antivirus, la garde de ton antispyware

    Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

    Remets aussi un rapport Hijackthis

    a++
    0
  9. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    ne fait pas se que je test mis au dessus il y a eu un soucis d envoi c est pas complet

    Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

    Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

    Driver::
    flP40
    ggC48
    gmR38
    ioS62
    kcP26
    kgD66
    lqV73
    rwC51
    rwD40
    rxD16
    yfK16
    ytR83
    bgL62
    glQ73
    mrW16
    yeK63
    kgD66

    FILE::
    C:\WINDOWS\system32\Drivers\flP40.sys
    C:\WINDOWS\system32\Drivers\ggC48.sys
    C:\WINDOWS\system32\Drivers\gmR38.sys
    C:\WINDOWS\system32\Drivers\ioS62.sys
    C:\WINDOWS\system32\Drivers\kcP26.sys
    C:\WINDOWS\system32\Drivers\kgD66.sys
    C:\WINDOWS\system32\Drivers\lqV73.sys
    C:\WINDOWS\system32\Drivers\rwC51.sys
    C:\WINDOWS\system32\Drivers\rwD40.sys
    C:\WINDOWS\system32\Drivers\rxD16.sys
    C:\WINDOWS\system32\Drivers\yfK16.sys
    C:\WINDOWS\system32\Drivers\ytR83.sys
    C:\WINDOWS\system32\Drivers\bgL62.sys
    C:\WINDOWS\system32\Drivers\glQ73.sys
    C:\WINDOWS\system32\Drivers\mrW16.sys
    C:\WINDOWS\system32\Drivers\yeK63.sys
    C:\WINDOWS\system32\Drivers\kgD66.sys

    Enregistre ce fichier sous le nom CFscript

    Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

    Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Réactive ton parefeu, ton antivirus, la garde de ton antispyware

    Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

    Remets aussi un rapport Hijackthis

    Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    a++
    0
Précédent
  • 1
  • 2